Todo lo que necesita saber sobre los encabezados de seguridad

febrero 9, 2021 0 Por mc
Todo lo que necesita saber sobre los encabezados de seguridad

Qué necesito saber sobre los encabezados o headers de seguridad

SSL es una capa adicional de seguridad en su sitio. Pero para optimizar la seguridad de su sitio, le recomendamos que utilice también varios encabezados de seguridad importantes en su sitio. Para implementarlos, puede agregar los encabezados que se enumeran a continuación al archivo .htaccess de su sitio web. Asegúrese de reemplazar las comillas dobles en cada línea con una normal, ya que WordPress la cambia a una elegante que no funciona en archivos .htaccess.

Un encabezado importante que puede agregar es HSTS y la precarga de HSTS, que evita que los usuarios de su sitio web carguen una versión falsa de su sitio web, creada por un pirata informático. Pero hay más formas de ingresar a un sitio. Para que esto sea lo más difícil posible, le recomendamos que agregue los siguientes encabezados a su sitio.

HSTS

Cuando este encabezado está configurado en su dominio, un navegador hará todas las solicitudes a su sitio a través de https a partir de ese momento. Entonces, en el caso de que un pirata informático redirija a este usuario a un dominio.com falso, el navegador recuerda usar SSL debido al HSTS, por lo que solicita el sitio seguro. Pero esto no existe: no se autorizó ningún certificado SSL para el sitio falso de este hacker.

Solicitudes de actualización inseguras

El encabezado Upgrade-Insecure-Requests proporciona un método adicional para forzar las solicitudes http: // en su propio dominio a https: //. Todas las solicitudes http: // se actualizarán automáticamente a https: // cuando este encabezado esté habilitado.

Precarga HSTS

Como HSTS solo se aplica después de que el navegador visita su sitio, esta es una vulnerabilidad: si el usuario no ha visitado su sitio antes, no se establecerá HSTS, por lo que el visitante aún puede solicitar el sitio a través de http. Hay una solución para esto: la lista de precarga de HSTS. Esta es una lista de dominios HSTS, que está precargada en los navegadores. Si está en la lista, el navegador sabrá que solo debe cargar su sitio a través de https, incluso antes de que lo solicite. Pero tenga cuidado con esta función: todos los subdominios (como sub.domain.com) también se forzarán a través de https, y la eliminación de la lista de precarga es muy difícil y es posible que no se propague muy rápido. Por lo tanto, incluso si lo eliminan, es posible que los navegadores tengan su sitio en la lista durante meses.

X-Content-Type-Options

Este encabezado obligará al navegador a no “adivinar” qué tipo de datos se pasan. Si la extensión es “.doc”, el navegador debería obtener un archivo .doc, no otra cosa (un .exe). De lo contrario, el navegador podría ser engañado para que ejecute un script, mientras que el usuario cree que está descargando un archivo inocente.

Protección X-XSS

Evitará que las páginas se carguen si se detecta un ataque de scripts de sitios cruzados (XSS) reflejados. Si bien generalmente no debería ser necesario cuando existe una política de seguridad de contenido sólida, en muchos casos esto no será posible en los sitios de WordPress, ya que no podemos estar absolutamente seguros de que no se utilicen scripts en línea en un tema. Lo que hace que sea bueno utilizar este encabezado.

Opciones de X-Frame

Las opciones de X Frame impiden la carga del sitio en un iframe. El encabezado puede declarar si se le permite cargar el sitio actual en un iframe. Esto evita el secuestro de clics, al evitar que el sitio se incruste secretamente en otro sitio mediante un iframe. Al usar este encabezado, debe tener en cuenta que esto impedirá que su sitio muestre su sitio en un iframe en otros sitios.

Expect-CT, transparencia del certificado

Una autoridad de certificación (el emisor del certificado SSL) necesita registrar los certificados que se emiten en un registro separado, el marco CT. Con este registro, las Autoridades de certificación fraudulentas se pueden descubrir más rápidamente y los certificados emitidos incorrectamente se pueden detectar rápidamente.

Sin referencia al encabezado Downgrade

Solo establece una referencia cuando se pasa del mismo protocolo y no cuando se degrada (HTTPS -> HTTP). De esta forma, una redirección nunca redirigirá a un protocolo menos seguro (http).

Política de seguridad de contenido

Primero lea atentamente las instrucciones. Cuando está en modo de informes, CSP puede ralentizar su sitio, ya que los informes se envían a su servidor y se guardan utilizando la API de CSP. Si observa problemas de rendimiento, desactive los informes solo en momentos de poco tráfico, hasta que haya recopilado suficientes datos para comenzar a aplicar la ley.

Con CSP puede definir desde qué dominios su sitio web puede cargar recursos, como imágenes, hojas de estilo, archivos javascript, etc. Este es uno de los encabezados más avanzados: debido a la naturaleza modular de WordPress, cada complemento y tema puede agregar sus propios recursos, como Google Fonts. También los servicios sociales, como Facebook, Google Maps, etc., cargarán recursos externos. Todos estos deberán agregarse a la lista de “seguros”. Para facilitar esto, Really Simple SSL ha agregado un modo de informes, que registrará automáticamente las solicitudes que se bloquearían. Cuando haya ejecutado esto unos días, puede verificar la lista detectada. Si ve que los recursos son conocidos y seguros, puede agregarlos a la lista de recursos seguros. Cuando haya hecho esto con todos los elementos informados, puede habilitar el modo en vivo.

Política de funciones

Primero lea atentamente las instrucciones.

El encabezado de Política de funciones es un encabezado de seguridad que controla qué funciones del navegador se pueden usar. Además de implementar estas reglas para su propio contenido, también puede evitar que los iframes externos utilicen estas funciones del navegador, lo que lo convierte en un encabezado poderoso para proteger su sitio.

El encabezado HTTP Permissions-Policy reemplaza el encabezado Feature-Policy existente para controlar la delegación de permisos y funciones potentes. El encabezado utiliza una sintaxis estructurada y permite a los sitios restringir más estrictamente a qué orígenes se les puede otorgar acceso a las funciones. Esto se publicará en Really Simple SSL 4.1 antes de la depravación.

Pines de clave pública

Este es un encabezado de seguridad que evita que se cargue un certificado SSL fraudulento. No agregaremos este, ya que es bastante avanzado, con muchos riesgos y posibles problemas, y que también está desaprobado por Google, esencialmente eliminando este encabezado en mi opinión.